Poczta e-mail jest jednym z najczęściej używanych środków komunikacji. Jest ona jednak bardzo podatna na ataki hakerów i spamerów. W związku z tym, wdrożenie SPF, DKIMi DMARC chroni konwersacje e-mail i zapobiega przejęciu ich przez podmioty stanowiące zagrożenie. Celem tego bloga jest omówienie najważniejszych parametrów DMARC, które pomogą Ci rozpocząć ten proces.
Co to jest DMARC?
Aby zrozumieć, jakie parametry powinny być związane z DMARC, trzeba najpierw wiedzieć, czym jest DMARC i jak działa.
DMARC to skrót od Domain-based Message Authentication Reporting and Conformance. Jest to protokół uwierzytelniania wiadomości e-mail, który pozwala na stworzenie i opublikowanie określonej polityki bezpieczeństwa wokół procesu uwierzytelniania wiadomości e-mail. Instruuje on skrzynkę odbiorcy jak traktować nieautentyczne wiadomości wysłane z Twojej oficjalnej domeny.
Jak działa protokół DMARC?
DMARC jest wdrażany w połączeniu z SPF i DKIM. Właściciel domeny tworzy i publikuje rekord DNS DMARC u swojego dostawcy DNS. Gdy wiadomość e-mail jest wysyłana z tej domeny (przez Ciebie i Twoich pracowników lub cyberprzestępców), serwer pocztowy odbiorcy sprawdza jej autentyczność, sprawdzając, czy domena ma rekord DMARC opublikowany w DNS.
Oprócz tego, serwer odbiorcy wykonuje kontrole DKIM i SPF, aby wiedzieć, czy nadawca jest rzeczywiście tym, za kogo się podaje. Wykonywane są następujące kontrole:
- Jeśli wiadomość ma ważny DKIM Signature?
- Jeśli adres IP nadawcy pasuje do autoryzowanych nadawców w rekordzie SPF?
- Czy nagłówki wiadomości przechodzą testy wyrównania domeny?
Po uzyskaniu wyników SPF i DKIM, serwer pocztowy stosuje politykę. Na koniec na adres e-mail określony do otrzymywania raportów wysyłany jest raport o nazwie DMARC Aggregate Report.
Zasady DMARC
Jednym z podstawowych parametrów DMARC są trzy polityki DMARC. Możesz je monitorować przez jakiś czas, a następnie zdecydować, jak chcesz, aby skrzynki pocztowe odbiorców traktowały nieuwierzytelnione e-maile wysyłane z Twojej domeny. Oto te trzy polityki:
Polityka monitorowania: p=brak
Ten Zasady DMARC nakazuje serwerom pocztowym dostarczać raporty na adres wymieniony w tagu rua lub ruf w Twoim rekordzie DMARC. Jest to polityka określana jako monitoring-only, która jest wdrażana w początkowej fazie zgodności z DMARC w celu analizy aktywności Twojego kanału pocztowego.
Oferuje on wgląd w kanał emailowy, ale nie mówi serwerom odbiorczym jak traktować emaile, które nie przeszły kontroli DMARC.
Polityka kwarantanny: p=kwarantanna
Ten parametr rekordu DMARC instruuje serwery odbiorcze, aby umieszczały wiadomości e-mail, które nie przeszły uwierzytelnienia DMARC w folderze spamu. E-maile, które przejdą test uwierzytelniania wylądują w skrzynce odbiorczej. Zminimalizuje to ryzyko przypadkowego zaadresowania wiadomości phishingowej, ale takie złośliwe wiadomości nadal będą trafiać do folderu spamu.
Polityka odrzucania: p=reject
Parametr p=reject DMARC instruuje serwery poczty elektronicznej, aby całkowicie odrzucały wprowadzanie wiadomości e-mail, które nie przeszły kontroli uwierzytelniania DMARC. Wszystkie zaliczone maile są dostarczane do skrzynki odbiorczej. Istnieją jednak szanse na fałszywe niepowodzenia, co oznacza, że znaczące i autentyczne e-maile mogą również czasami nie dotrzeć do zamierzonych odbiorców.
Typy znaczników DMARC i ich działanie
Tagi DMARC określają aspekty parametrów DMARC i nie wszystkie z nich są tak ważne i tak wykorzystywane jak pozostałe. Dzielą się na trzy kategorie.
- Wymagane: Są to obowiązkowe znaczniki. Każdy rekord DMARC TXT musi rozpocząć się od obowiązkowego tagu "v" lub tagu wersji i dodać jego wartość jako "DMARC1".
- Opcjonalnie, ale zalecane: Nie jest konieczne dodawanie tych znaczników, jednak pomagają one w generowaniu raportów.
- Opcjonalnie: Możesz całkowicie pominąć te tagi.
Funkcje znaczników DMARC
Istnieje w sumie 11 tagów ważnych dla parametrów rekordu DMARC, a tagi "v" i "p" są obowiązkowe. Dowiedzmy się, jaka jest funkcja każdego z tych tagów.
| Nazwa znacznika DMARC | Typ | Funkcja |
| v (wersja) | Wymagane | Ten tag DMARC określa wersję. Jak na razie istnieje tylko jedna wersja, więc jego wartość jest ustalona jako v=DMARC1. |
| p (polityka) | Wymagane | Parametr DMARC pokazuje tryb polityki DMARC. Nakazuje on odbiorcy zgłaszanie, poddawanie kwarantannie lub odrzucanie wiadomości e-mail, które nie przejdą pomyślnie kontroli uwierzytelniania. |
| adkim | Opcjonalnie | Jest to skrót od DKIM alignment mode. Jego wartością może być Strict (s) lub Relaxed (r).
W trybie zrelaksowanym walidacja pokazuje wynik pozytywny, jeśli weryfikowany rekord DKIM adresuje się do domeny d=sample.com, a adres email nadawcy jest z kategorii- email@news.sample.com. W trybie ścisłym, walidacja pokazuje wynik pozytywny, gdy email pochodzi z adresu w domenie sample.com. Subdomeny nie przechodzą walidacji. |
| aspf | Opcjonalnie | Ten parametr DMARC oznacza tryb wyrównania SPF. Jego wartością może być Strict (s) lub Relaxed (r). Domyślnie jest to Relaxed "r". |
| sp (polityka subdomeny) | Opcjonalnie | Znacznik DMARC sp określa politykę subdomeny. Tryb polityki jest skonfigurowany dla twojej głównej domeny (p). |
| fo (zgłaszanie awarii) | Opcjonalnie | Domyślna wartość tagu DMARC fo to 0. Nadrabia on opcje raportowania awarii, które mogą wybrać właściciele domen.
Dostępne opcje to: fo=0: raport DMARC failure/forensic jest wysyłany do Ciebie jeśli Twój email nie przejdzie zarówno SPF jak i DKIM alignment. fo=1: raport o niepowodzeniu DMARC jest wysyłany do Ciebie, gdy Twój email nie spełnia wymogów SPF lub DKIM. fo=d: raport o niepowodzeniu DKIM jest wysyłany jeśli podpis DKIM emaila nie przejdzie walidacji, niezależnie od wyrównania fo=s: raport o niepowodzeniu SPF jest wysyłany, jeśli email nie przejdzie oceny SPF, niezależnie od wyrównania. |
| ruf (zgłoszenie awarii RUI) | Nieobowiązkowe, ale zalecane | Określa on, gdzie należy wysłać raport DMARC forensic ruf. Obecnie wysyłało go tylko kilka firm zgodnych z DMARC. |
| rua (raport zbiorczy RUI) | Nieobowiązkowe, ale zalecane | Podczas gdy parametry DMARC są wyjaśnione, tag rua wyświetla adres e-mail lub serwer internetowy, do którego firmy raportujące muszą go dostarczyć. |
| rf (format raportu) | Opcjonalnie | Domyślną wartością tego znacznika DMARC jest "afrf". Rejestruje on formaty raportów kryminalistycznych. |
| pct (procent) | Opcjonalnie | Jego domyślna wartość to '100'. Ten znacznik mówi o procencie maili, dla których próbowany jest tryb polityki
Na przykład "pct = 40" będzie filtrować 40% e-maili. |
| ri (interwał raportowania) | Opcjonalnie | Domyślną wartością znacznika ri jest "86400". Określa odstęp czasu w sekundach pomiędzy dwoma kolejnymi raportami zbiorczymi. |
Podsumowanie
Parametry DMARC współpracują ze sobą, aby pomóc Ci zapobiec atakom phishingowym i spoofingowym próbowanym w imieniu Twojej marki. Działa to w połączeniu z SPF i DKIM, gdzie zasady DMARC są stosowane, aby powiedzieć serwerowi odbiorczemu, jak postępować z e-mailami, które nie przeszły kontroli poprawności. Trzy znaczniki to p= none (żadne działanie nie jest podejmowane w stosunku do nieudanych emaili), p=quarantine (nieudane emaile lądują w folderze spamu zamiast w skrzynce odbiorczej), i p=reject (nieudane emaile są całkowicie zabronione przed dostaniem się do skrzynek pocztowych odbiorców).
- Czy Blockchain może pomóc poprawić bezpieczeństwo poczty e-mail? - 9 maja 2024 r.
- Serwery proxy dla centrów danych: Odsłonięcie konia roboczego świata proxy - 7 maja 2024 r.
- Kimsuky wykorzystuje zasady DMARC "None" w ostatnich atakach phishingowych - 6 maja 2024 r.